安全社区已经知道,像 Tor 这样通用的工具很可能是情报机构强烈关注的目标。虽然 FBI 承认对 Tor 恶意软件攻击负责,但 SIGINT 组织的参与尚未得到证实。
2013 年 10 月上旬,卫报发布了“ Tor Stinks ”,这是一份 NSA 演示文稿(2012 年 6 月),概述了利用网络的当前和提议的策略,任何疑问都被消除了。
一些要点:
在查阅了文献之后,Tor 用户应该实施哪些改变来确保——在最大程度上在技术上可行——他们的持续安全?
作为一个长期使用 Tor 的用户,对我来说,NSA 文件中最令人惊讶的部分是他们在对抗 Tor 方面取得的进展如此之小。尽管它有已知的弱点,但它仍然是我们拥有的最好的东西,只要它使用得当并且你不会出错。
由于您想要“技术上可行的最大程度”的安全性,我将假设您的威胁是一个资金充足的政府,对互联网具有显着的可见性或控制权,就像对许多 Tor 用户一样(尽管Tor的警告仅凭这一点不足以保护您免受此类演员的伤害)。
考虑您是否真的需要这种级别的保护。如果发现您的活动不会危及您的生命或自由,那么您可能不需要遇到所有这些麻烦。但是,如果确实如此,那么如果您希望保持活力和自由,那么您绝对必须保持警惕。
我不会在这里重复Tor Project 自己的警告,但我会指出它们只是一个开始,并不足以保护您免受此类威胁。当谈到高级持续性威胁(例如国家行为者)时,您几乎可以肯定还不够偏执。
迄今为止,NSA 和 FBI 对 Tor 的主要攻击是 MITM 攻击 (NSA) 和隐藏服务 Web 服务器入侵和恶意软件传递 (FBI),它们要么从 Tor 用户的计算机发送跟踪数据,要么破坏它,或两者兼而有之。因此,您需要一个相当安全的系统,您可以从中使用 Tor 并降低被跟踪或泄露的风险。
不要使用 Windows。只是不要。这也意味着不要在 Windows 上使用 Tor Browser Bundle。TBB 中的软件漏洞在 NSA 幻灯片和 FBI 最近对 Freedom Hosting 的取缔中都非常突出。还表明,恶意 Tor 出口节点正在对未签名的 Windows 软件包进行二进制修补,以分发恶意软件。无论您使用什么操作系统,只安装通过安全连接获得的签名包。
如果您无法构建自己的能够运行 Linux 并经过仔细配置以运行最新可用版本的 Tor、代理(如 Privoxy)和 Tor 浏览器,并且所有传出的 clearnet 访问都受防火墙保护,请考虑使用Tails或Whonix,大部分工作都是为您完成的。对传出访问设置防火墙绝对至关重要,这样第三方应用程序或恶意软件就不会意外或故意泄露有关您的位置的数据。如果您必须使用 Tails 或 Whonix 以外的其他工具,则仅使用 Tor 浏览器(并且仅在下载上述其中之一所需的时间内)。其他浏览器可能会泄露您的实际 IP 地址 即使在使用 Tor 时,也可以通过 Tor 浏览器禁用的各种方法。
如果您使用任何类型的持久存储,请确保它已加密。当前版本的 LUKS 相当安全,主要的 Linux 发行版会在安装过程中为您提供设置。目前尚不知道 TrueCrypt 是否安全。BitLocker 可能是安全的,但您仍然不应该运行 Windows。即使您在橡胶软管合法的国家/地区(例如英国),加密您的数据也可以保护您免受各种其他威胁。
请记住,您的计算机必须保持最新状态。无论您是使用 Tails 还是从头开始构建您自己的工作站,还是使用 Whonix,请经常更新以确保您免受最新的安全漏洞的影响。理想情况下,您应该在每次开始会话时更新,或者至少每天更新。如果有可用更新,Tails 会在启动时通知您。
非常不愿意在 JavaScript、Flash 和 Java 上妥协。默认情况下将它们全部禁用。FBI 使用了利用这三个工具来识别 Tor 用户的工具。如果某个站点需要其中任何一个,请访问其他地方。启用脚本仅作为最后的手段,只是暂时的,并且仅在获得您别无选择的网站功能所需的最小范围内。
恶意丢弃网站发送给您的 cookie 和本地数据。TBB 和 Tails 对我的口味都不够好。考虑使用诸如自毁 Cookie之类的插件,以将您的 Cookie 降至最低。为零。
您的工作站必须是笔记本电脑;它必须足够便携,可以随身携带并迅速处理或销毁。
不要使用谷歌搜索互联网。一个不错的选择是Startpage;这是 TBB、Tails 和 Whonix 的默认搜索引擎。另一个不错的选择是DuckDuckGo。
Tor 包含只能通过物理世界中的行动来缓解的弱点。可以查看您的本地 Internet 连接和您正在访问的站点的连接的攻击者可以使用统计分析将它们关联起来。
切勿在家中或在家附近使用 Tor。即使您处于离线状态,也不要从事任何敏感到需要在家中使用 Tor 的事情。电脑有一个有趣的习惯,就是喜欢联网……这也适用于你暂时停留的任何地方,比如酒店。切勿在家中进行这些活动有助于确保它们不会与这些位置相关联。(请注意,这适用于面临高级持续威胁的人。在家中运行 Tor 对其他人来说是合理且有用的,尤其是那些自己不做任何事情但希望通过运行出口节点、中继或网桥来提供帮助的人。)
限制您在任何一个位置使用 Tor 的时间。虽然这些关联攻击确实需要一些时间,但理论上它们可以在一天之内完成。(如果您已经处于监视之下,则可以立即完成;这样做是为了确认或驳斥被怀疑的人是正确的人。)虽然长靴不太可能在您启动 Tor 的同一天出现星巴克,他们可能会在第二天出现。我建议真正关心的人不要在任何一个物理位置使用 Tor 超过 24 小时;在那之后,认为它被烧毁并去其他地方。即使长靴在六个月后出现,这也会对您有所帮助;记住一位常客比记住某天出现然后再也没有回来的人要容易得多。这确实意味着您将不得不去更远的地方旅行,尤其是如果您不住在大城市,但这将有助于保持您自由旅行的能力。
避免被电子跟踪。为您的汽车或公共交通支付现金。例如,在伦敦地铁上,使用用现金购买的单独旅行卡,而不是您的常规牡蛎卡或非接触式付款。也为其他一切支付现金;避免使用您的普通信用卡和借记卡,即使在 ATM 上也是如此。如果您在外出时需要现金,请使用您已经经常使用的离家较近的自动取款机。如果您开车,请尽量避开主要的桥梁、隧道、高速公路、收费公路和主干道,并在次要道路上行驶,从而避开车牌阅读器。如果信息是公开的,请了解这些阅读器在您所在地区的安装位置。
当您外出进行这些活动时,请让您的手机保持开机状态并留在家中。如果您需要拨打和接听电话,请购买匿名预付费电话。这在某些国家/地区很困难,但如果您有足够的创造力,就可以做到。付现金; 切勿使用借记卡或信用卡购买手机或充值。如果您离家 10 英里(16 公里)以内,切勿插入或打开电池,也不要使用无法取出电池的手机。切勿将以前在一部手机中使用的 SIM 卡放入另一部手机,因为这将不可撤销地链接手机。永远不要把它的号码告诉任何知道你真实身份的人,甚至不承认它的存在。这可能需要包括您的家庭成员。
许多 Tor 用户因为犯了错误而被抓,例如使用他们的真实电子邮件地址与他们的活动相关联,或者允许敌对的对手达到高度信任。您必须尽可能避免这种情况,唯一的方法是进行仔细的心理训练。
将您的 Tor 活动视为假名,并在您的脑海中创建一个虚拟身份以与该活动相对应。这个虚拟的人不认识你,也不会认识你,认识你也不会喜欢你。他必须在精神上严格隔离。考虑使用多个假名,但如果这样做,您必须格外小心,以确保您不会透露可能与他们相关的细节。
如果您必须使用公共 Internet 服务,请为此化名创建全新的帐户。切勿混合它们;例如,在同一台计算机上使用 Twitter 和您的假名电子邮件后,不要使用您的真实电子邮件地址浏览 Facebook。等到你回家。
出于同样的原因,除非您别无选择(例如注册一项阻止通过 Tor 注册的服务),否则切勿在不使用 Tor 的情况下执行与您的假名活动相关的操作。如果您必须这样做,请对您的身份和位置采取额外的预防措施。
这些在新闻中引起了轰动,2013 年丝绸之路和自由托管等备受瞩目的隐藏服务被取消,2014 年丝绸之路 2.0 和其他数十项服务被取消。
坏消息是,隐藏服务比它们可以或应该的要弱得多。由于缺乏资金和开发人员的兴趣,Tor 项目无法对隐藏服务进行大量开发(如果您能够这样做,请考虑以其中一种方式做出贡献)。
此外,怀疑 FBI 正在使用流量确认攻击来大规模定位隐藏服务,而2014 年初对 Tor 网络的攻击实际上是 FBI 的行动。
好消息是,NSA 似乎并没有对它们做太多事情(尽管 NSA 幻灯片提到了一个名为 ONIONBREATH 的 GCHQ 程序,该程序专注于隐藏服务,但对此一无所知)。
由于隐藏服务必须经常在其他人的物理控制下运行,因此它们很容易受到对方的攻击。因此,保护服务的匿名性更为重要,因为一旦以这种方式受到损害,游戏就结束了。
如果您只是访问隐藏服务,上述建议就足够了。如果您需要运行隐藏服务,请执行上述所有操作,此外还要执行以下操作。请注意,这些任务需要一位经验丰富的系统管理员,他也熟悉 Tor;在没有相关经验的情况下执行它们将是困难的或不可能的,或者可能导致您被捕。最初的丝绸之路和丝绸之路 2.0 的运营商都是开发人员,他们和大多数开发人员一样,缺乏 IT 运营经验。
除非您还控制物理主机,否则不要在虚拟机中运行隐藏服务。Tor 和服务在防火墙物理主机上的防火墙虚拟机中运行的设计是可以的,只要它是您控制的物理主机,并且您不仅仅是租用云空间。对于云提供商来说,获取您的虚拟机 RAM 的映像是微不足道的,其中包含您所有的加密密钥和许多其他机密。这种攻击在物理机器上要困难得多。
Tor 隐藏服务的另一种设计包括两个物理主机,它们从两个不同的提供商租用,尽管它们可能位于同一个数据中心。在第一台物理主机上,单个虚拟机使用 Tor 运行。主机和虚拟机都设有防火墙,以防止除 Tor 流量之外的传出流量和到第二台物理主机的流量。然后,第二个物理主机将包含一个具有实际隐藏服务的 VM。同样,这些将在两个方向上都受到防火墙保护。它们之间的连接应该使用已知不安全的 VPN 来保护,例如 OpenVPN。如果怀疑两台主机中的任何一台可能受到威胁,则可以立即移动服务(通过复制虚拟机映像)并停用两台服务器。
使用Whonix可以很容易地实现这两种设计。
从第三方租用的主机很方便,但特别容易受到服务提供商获取硬盘副本的攻击。如果服务器是虚拟的,或者它是物理的但使用 RAID 存储,则可以在不使服务器脱机的情况下完成此操作。再次,不要租用云空间,并仔细监控物理主机的硬件。如果 RAID 阵列显示为降级,或者如果服务器莫名其妙地停机超过几分钟,则应认为服务器已受到损害,因为无法区分简单的硬件故障和这种性质的损害。
确保您的托管服务提供商提供对远程控制台的 24x7 访问(在托管行业,这通常称为KVM,尽管它通常通过IPMI实现),它也可以安装操作系统。在安装过程中使用临时密码/密码,并在 Tor 启动并运行后全部更改(见下文)。仅使用可通过安全 (https) 连接访问的工具,例如 Dell iDRAC 或 HP iLO。如果可能,请将 iDRAC/iLO 上的 SSL 证书更改为您自己生成的证书,因为默认证书和私钥是众所周知的。
远程控制台还允许您运行完全加密的物理主机,从而降低因物理入侵而丢失数据的风险;但是,在这种情况下,每次重新启动系统时都必须更改密码(即使这并不能减轻所有可能的攻击,但确实可以为您争取时间)。
如果系统在您不知情或没有明确意图的情况下重新启动,请认为它已受到威胁,并且不要尝试以这种方式对其进行解密。Silk Road 2.0 显然未能对其硬盘进行加密,并且在 2014 年 5 月宕机时也未能移动服务,当时它被执法部门下线以进行复制。
您对运行服务的主机的初始设置必须部分通过 clearnet(通过 Tor 出口节点),尽管通过 ssh 和 https;但是,重申一下,它们不能在家中或您以前访问过的位置进行。正如我们所见,仅仅使用 VPN 是不够的。由于此类提供商可能使用的欺诈保护,这可能会导致您在实际注册服务时遇到问题。但是,如何处理这个问题超出了这个答案的范围。
启动并运行 Tor 后,永远不要再通过 clearnet 连接到任何服务器或虚拟机。配置通过 ssh 连接到每个主机和每个虚拟机的隐藏服务,并始终使用它们。如果您运行多个服务器,请不要让它们通过 clearnet相互通信;让他们通过独特的 Tor 隐藏服务相互访问。如果您必须通过 clearnet 连接来解决问题,请再次从您永远不会再次访问的位置进行连接。几乎任何需要您通过 clearnet 连接的情况都表明可能存在妥协;考虑放弃它并改为移动服务。
隐藏的服务必须偶尔移动,即使不怀疑有危害。2013 年的一篇论文描述了一种攻击,它可以在短短几个月内以大约 10,000 美元的云计算费用定位隐藏服务,这甚至在某些人的预算之内。如前所述,类似的攻击发生在 2014 年初,可能涉及 2014 年 11 月对数十个隐藏服务的入侵。多久移动一次隐藏服务最好是一个悬而未决的问题。它可能是几天到几周的任何时间。我现在最好的猜测是,最佳位置将在 30 到 60 天之间。虽然这是一个极其不方便的时间框架,但它比牢房要方便得多。请注意,大约需要一个小时 让 Tor 网络识别移动的隐藏服务的新位置。
匿名很难。单靠技术,不管它有多好,永远都不够。它需要清醒的头脑和对细节的认真关注,以及现实世界的行动,以减轻仅通过技术无法解决的弱点。正如经常提到的那样,攻击者可能是装模作样的傻瓜,他们只能依靠运气,但你只需要犯一个错误就会被毁掉。
我上面给出的指南旨在让攻击者更难、更耗时、更昂贵地定位您或您的服务,并尽可能警告您或您的服务可能受到攻击。
我们称它们为“高级持续性威胁”,部分原因是它们是持续性的。正如美国律师 Preet Bharara 在宣布丝绸之路 2.0 突袭时所说的那样,“我们不会感到疲倦。” 他们不会放弃,你也不能。
我认为重要的是不要夸大各种三信机构在识别 Tor 用户方面的能力。第一张幻灯片指出,他们“......永远无法一直对所有 Tor 用户进行去匿名化”。这意味着 Tor 的基础是健全的。
然后幻灯片继续指出“......通过手动分析,我们可以对一小部分Tor 用户进行去匿名化......”(强调他们的),然后是一系列方法。
快速浏览一下所谓的“洗衣清单”并不表示任何新内容。协议中没有漏洞,没有针对 TLS 的攻击。所有提到的攻击都是众所周知的。在我看来,这些是主要的:
1) EPICFAIL(又名用户犯的错误)。其中包括在使用 Tor 时在留言板上发布您的实际电子邮件地址(这是丝绸之路网站被撤下中引用的错误之一)。解决方案:需要用户时刻保持警惕!
2)定时攻击、流量分析、恶意退出节点。解决方案:单个用户可以做的不多。整个社区可以通过为 Tor 网络做出贡献来提供帮助——通过使用 Tor、运行中继、退出和捐赠。更多的 Tor 用户使识别任何个人用户变得更加困难。运行“真实”的中继和退出意味着攻击者需要更多的恶意节点才能生效。
3) 残差/边信道攻击。其中包括恶意 Java 应用程序、Tor 使用后存在的 cookie 以及其他利用标准浏览器行为(或浏览器漏洞)来留下或检测用户在使用 Tor 时所做的跟踪的攻击。解决方案:禁用 Java 和 Javascript(可能还有其他浏览器插件,如 Flash),并且永远不要在 Tor 上使用您常用的计算机。使用Tails之类的东西,和/或在每次使用后抹去 Tor 系统的所有痕迹(例如 DBAN)。
是的,这是一个很大的努力,并且需要放弃大量的便利来获得安全性。感兴趣的 Tor 用户正在防御资源丰富的对手。防御者需要成功阻止每一次攻击。攻击者只需要幸运一次。资源充足的攻击者有能力在很长一段时间内尝试多种不同类型的攻击。
唯一的防御是持续的、昂贵的警惕。
